2020-05-19 ゼロトラストをゼロから学ぶ #DevLOVE

2020/05/19 に開催された ゼロトラストをゼロから学ぶ のイベントレポートです。

ゼロトラストをゼロから学ぶ

●イベント概要
「ゼロトラスト超入門」の著者、岡村慎太郎さんによるゼロトラスト勉強会を開催します！

ゼロトラストとは？
ゼロトラストとは、組織境界の内外の存在を常に「信頼してはならない」という前提に立って、情報セキュリティの方針と実装を規定する考え方です。

「ゼロトラスト超入門」とは
近年、企業のビジネス上の様々なアプリケーションは、それ自体も、それを利用する側もロケーションが多様化しています。かつてのように「社外」「社内」といったゾーンを設けて、境界によってセキュリティを形成することは、もはや意味がありません。ゼロトラストはロケーションに依らず、常にアクセスをチェックし、動的なポリシーによってアクセスコントロールを行います。本書はそんなクラウド時代のセキュリティ戦略の基礎と、GoogleのBeyondCorp®におけるゼロトラストの実践を解説した一冊です。

ゼロトラスト超入門DL版 - おからぼ - BOOTH

■ゼロトラストをゼロから学ぶ

岡村慎太郎さん [スタディスト]

●自己紹介
・スタディスト
・コーポレートグロース部
　　経営企画的な部署

●セキュリティとは
・脅威から守ること
・情報セキュリティの場合は情報を守る

●情報
・パソコンのファイル
・顧客情報、ソースコード、slackのやりとり
・誰かの頭の中

●何を守るのか
・法令やガイドライン
　　誰でも触れる場所にあってはいけないよ
　　個人情報保護法など
　　守らないと制裁がある
・情報の保持者の判断による
　　ものによっては守らない選択肢もある

●法令やガイドライン
・守らないと行政処分が待っている
・事例
　　zaif
　　リクナビDMPフォロー
　　　　お金をかけたけどすぐに廃止
・最悪の場合倒産にも

●情報の保持者の判断による
・顧客情報はどこでも重要
・重要性は企業・業態によって異なる
　　コンサルだったらノウハウかもしれない
　　レシピサイトならレシピは公開
　　飲料開発の企業でのレシピなら扱いは違うはず
・Pマークなどでも8割くらいは自分たちで決めている
　　ISMSをとっていることが売りになるから自分たちで守る

●守り方は様々な要素から総合的に判断
・情報の重要性
・盗まれる可能性
・なくなってしまう
　　自前ならバックアップは何重にも
　　IaaSだったら自動に任せていたり

●ゼロトラストとは
・情報セキュリティにおける考え方
　　SREとかDevOpsのような考え方・アプローチ
　　コンサル会社にゼロトラストくださいと言っても出てくるものではない

●従来のモデル
・悪い、使ってはいけないわけではない
・static, network-based perimeters

●perimeter: 境界モデル
・ネットワークの境界を区切って守る
　　ざっくり言うとオフィスにカギをかけるようなもの
・実現する方法
　　境界の内側にサーバを置いて、外からアクセス
　　ファイアウォール、DMZ、IPアドレス制限、VPN、VDIなど
・おそらく9割以上はこのタイプ
　　VPCに移しても同じ構成
・このモデルは何も悪くありません
　　事業が継続できている
　　VPNで会社の情報にアクセスできる
　　関係ない人はアクセスできない

●なぜゼロトラストが生まれたのか？
・フォーカスさせるアプローチの変化
・focus on users, assets, and resources

●時代や環境の変化
・Salesforce, AWS, GSuite, iPhone
　　社内のデータセンターだけから、SaaSを使うように
　　社内社外があいまいに
・新型コロナウイルス
　　みんなでVPNにつないだら繋がらなくなったから出社など
　　事業は継続させなければならない
　　でも守らなければならない
・SaaS, IaaS, スマホの登場
　　コロナで出社禁止されてるんですけど
　　な人に営業するには今までのやり方ではできないかも
・守る対象が変わってきた
　　ネットワーク境界の防御から
　　ユーザーやデバイスなどの主体に
・境界がミクロになった
　　この人は大丈夫なのか
　　このデバイスは大丈夫なのか
・時間が立つと信頼性も変わる
　　明日になったら利用者が違うかもしれない
　　信頼性は時間の経過で下がっていく
・驚異の質や量も変わってきた
　　安全だと思っていた教会の内部で暴れられたり
　　　　標的型攻撃など
　　社内の人間が意図的に漏らしてしまったり
・境界を狭めた上で、定期的に信頼性を見直す必要がある

●全く信頼しないは現実的には無理
・Dataにアクセスさせて大丈夫？
　　ユーザー、デバイス、ネットワーク
・可能な限り多数の要素から判定
　　アクセスコントロールエンジン、ポリシー
・ユーザーなら
　　ID/Passあってる？
　　このIDにアクセス権ある？
　　本当に保持者？
　　など
・デバイスなら
　　信頼できる？
　　ウイルスに侵入されてない？
　　OSのバージョンは？
　　など
・ネットワーク、ロケーションなら
　　いつもは日本なのに急にタイから
　　など
・これらの総合点で判断
　　4/5が危ないからブロック
　　このアクセス情報を保存して、更に分析
・こんなの自前で作るのは厳しい
　　巨人の肩に乗る
　　　　MS365
　　　　GSuite Enterprise
　　　　akamai

●サービス作る側は？
・自分たちが作るサービスで何を作り込むか
　　作り切るのは難しい
・導入企業側に選択肢を与える
　　情シス側が、ここまで話した方向に進もうとしている
　　　　SAMLでSSO強制があるだけでかなり楽
　　　　ID/Passだけのサービスだと、使いにくい
　　選べるようにすることが大切
　　　　サービス間でパスワードポリシーがアンマッチ
　　　　不整合で移行しにくいなどもあったりする

●どうやって勉強したらいい？
・ゼロトラスト超入門と言いたいが
・ゼロトラストネットワーク
・Google Beyondcorp
・MSのZeroTrust系ドキュメント
・NIST SP 800-207 まだドラフト
・akamaiのドキュメント

■QA

●AzureADを導入しようとしています。
　IDPをやりたいのですが、Oktaは必要ですか？
　AzureADだけでIDPを構成するのと違いはなんですか？
・AzureADだけでもできる
　　IDPはどこにあっても良い
・できることに違いはある
　　radiusをoktaで立てられたり
　　azure MFAなど別で立てないといけなかったり
　　会社のwifi含めてSSOしたいなら、oktaやone loginなど

●境界型とゼロトラストで、費用とコストパフォーマンスは
　どのように整理をつければ良いですか？
・事業継続性で考えたほうが良いかも
　　外で仕事ができなくて良いのであれば、これまで通りで大丈夫
　　ビジネス上必要か？この情報は守る必要があるのか？
・CFO、CIOあたり、経営と話したほうが良い

●お客さんから「ゼロトラストを検討したい」と言われた時に
　はじめの一歩としてどういったアプローチをしますか？
・このあたりの問いかけから
　　守りたいものはなんですか？
　　ゼロトラストでやりたいことはなんですか？
　　守った上でどう働けるようにしたいのか？

●ロケーションフリーのトレンドは境界防御の考え方でも対応できますか？
・境界型でもできないことはない
・ロケーションフリーは一つの要素
　　脅威度の変化、情報の重要性などの要素が絡んでいる
・最近のスタートアップだとSaaS利用
　　境界を作ることが難しい
　　もともとフルリモートだと境界を作る意味がない

●レガシーの境界型セキュリティ(FW、IPS、WAF等)を導入している場合
　オンプレの資産をうまく生かしてゼロトラストを実装していくとすれば
　何から着手すれば良いですか？
・IDと情報資産の整理からが良いと思っている
　　自分たちが大事だと思っている情報はどれ？
　　それは契約から、法律から？

●GSuiteもOffice365も使っていて、O365はOfficeを使う為だけに契約。
　この状況下であれば、GSuiteをベースにした方が良いですか？
・いま時点だとMSの方が揃っていそうに感じる
　　Googleも強化されてきている
・判断はセンスが問われる
　　費用はGSuiteに寄せたほうが安い
　　AWSへのSSOをGSuiteのCloudIdentityだと
　　　　IDP側に追加情報をもたせるのをポチポチする必要があったり
　　Googleログインを使っているとしたら、ADに寄せるのは、、、
　　など状況に合わせて

●ゼロトラストではコントロールプレーンにて認証と認可
　特定のクラウドサービスを利用している場合、自分たちで
　認証と認可をコントロールできませんが、どう構築すれば良い？
・サービスの取捨選択に当たるところ
　　ID/Passだけだと移行しづらい
　　そもそもそういうサービスを利用しない
　　同じような機能を持っていてSAMLできるものへ
　　　　個々人はID/Passを知らないまま、SSOできるように

●経営が、話しやすい人、話を理解してくれる人だといいですよね
・理解させるというのも腕の見せ所
・リスクだけは明文化しておくのも手
　　それだけでは終わらないが

●ゼロトラスト基盤の導入例はありますか？
・ゼロトラストを前提として立てた会社以外、片手落ちな印象
　　クラウドネイティブとかfolioはできてそう
　　スタディストは完璧にはできていない

●巨人に障害が発生した時は、祈るしかないでしょうか？
　ID管理を冗長化といった考え方はありますか？
・できるだろうけど、修羅の道っぽい
・バックアップとしてADを持っておくとかはある

●SaaS onlyの環境は境界が一切ありませんが、これもゼロトラスト
　と言えるのでしょうか？
・SaaSで組んでいるからと言ってゼロトラストではない

■感想

これから情シスがゼロトラストなアプローチに進んでいくから、移行しやすいサービスを提供するという発想に、はっとしました！普段の立ち位置からの提供・利用の視点に、発想が凝り固まってしまっていたのを気づかせていただけました。

岡村さん、市谷さん、ありがとうございました！